•
La ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y tiene como fin describir como gestionar la seguridad de la información en una empresa.
•
Su primera publicación se realizo en e l año 2005 y a partir de esta h a tenido varias modificaciones, la ultima de ella se realizo en el año 2013.
•
Esta norma esta diseñada para implementarse en cualquier tipo de empresa ya sea publica o privada, pequeña o grande, con animo o sin animo de lucro, y el de la misma avala la certificación en dicha norma.
•
Organización de la seguridad de la información.
•
Política de seguridad.
•
Gestión de activos.
•
Control de acceso.
•
Seguridad de los recursos humanos.
•
Cumplimiento.
•
Seguridad física y del entorno.
•
Adquisición, desarrollo y mantenimiento de los sistemas de información.
•
Gestión de las comunicaciones y operaciones.
•
Gestión de la continuidad del negocio.
•
Previene o reduce eficazmente el nivel de riesgo, mediante la implantación de los controles adecuados; de este modo, prepara a la organización ante posibles emergencias y garantiza la continuidad del negocio.
•
Diseña una herramienta para la implementación del sistema de gestión de seguridad de la información teniendo en cuenta la política, la estructura organizativa,los procedimientos y los recursos.
•
A la dirección, le ayuda a gestionar las políticas y los objetivos de seguridad en términos de integridad, confidencialidad y disponibilidad.
•
Incrementa el nivel de concientización del personal respecto a los tópicos de seguridad informática.
•
El origen de ISO-27001 se rastrea desde hasta una publicación del Departamento d e Comercio e Industria (DTI, Department of Trade and Industry) en el Reino Unido, documento que dio origen en 1995 a la norma BS7799-1, que
establecía un
código
de
mejores
prácticas
para
la
administración de la seguridad de la información. Como su nombre lo indica, sólo proporcionaba una serie de recomendaciones pero no
definía
certificación alguna ni los mecanismos para lograrla. Posteriormente la norma fue evolucionando de la siguiente manera:
•
En 1998 se liberó la segunda parte, BS7799-2, estableció la especificación para implantar un sistema de gestión de seguridad de la información (SGSI).
•
En el año 2000, la Organización Internacional para la Estandarización (ISO, Internacional Organization for Standarization) tomó la norma británica BS7799-1 y la convirtió en el estándar ISO17799/BS7799-1.
•
El Reino Unido, la BSI (British Standards Institution) publicó la norma BS77992:2002, que prepara a las organizaciones para que reciban la acreditación de seguridad a través de una auditoría realizada por una entidad certificadora.
•
En 2005 la ISO publicó, con base en la norma británica BS7799-2:2002, el estándar internacional ISO/IEC 27001:2005, que es el que nos ocupa en el presente artículo. Ese mismo año hubo una ligera actualización de la ISO-17799.
•
Finalmente, en 2007, la ISO-17799 se renombró para convertirse en ISO-
9. Definir la forma de medir la efectividad de sus controles
1. Obtener el apoyo de la dirección. 2. Utilizar
una
metodología
para
gestión
de
proyectos. 3. Definir el alcance del SGSI. 4. Redactar una política de alto nivel sobre seguridad de la información. 5. Definir la metodología de evaluación de riesgos. 6. Realizar la evaluación y el tratamiento de riesgos.
y de su SGSI. 10.Implementar todos los controles y procedimientos necesarios. 11.Implementar
programas
de
capacitación
y
concienciación. 12.Realizar todas las operaciones diarias establecidas en la documentación de su SGSI.
7. Redactar la Declaración de aplicabilidad
13.Monitorear y medir su SGSI
8. Redactar el Plan de tratamiento de riesgos
14.Realizar la auditoría interna. 15.Realizar la revisión por parte de la dirección. 16.Implementar medidas correctivas
Es posible certificarse como empresa y como persona.
Certificación como Empresa •
Las empresas se certifican con el fin de demostrar que cumplen todos los punto obligatorios de la norma.
•
Para obtener la certificación como Empresa se debe implementar la norma al pie de la letra y aprobar la auditoria que la realiza la entidad de la Norma. 1° paso de la auditoría (revisión de documentación): los auditores revisarán
toda
la documentación. 2° paso de la auditoría (auditoría principal): los auditores realizarán la auditoría in situ para comprobar si todas las actividades de una empresa cumplen con ISO 27001 y con la documentación del SGSI. •
Visitas de supervisión: después de que se emitió el certificado, y durante su vigencia de 3 años, los auditores verificarán si la empresa mantiene su SGSI.
Certificación Como Persona •
Las persona se certifican para garantizar que realizaron el curso a cerca de la norma el cual fue evaluado y aprobado.
•
Los siguiente son Cursos A cerca de la norma.
•
Curso de Auditor Líder en ISO 27001: este curso de 5 días le enseñará cómo realizar auditorías de certificación y está orientado a auditores y consultores.
•
Curso de Implementador Principal de ISO 27001: este curso de 5 días le enseñará cómo implementar la norma y está orientado a profesionales y consultores en seguridad de la información.
•
Curso de auditor interno en ISO 27001: este curso de 2 ó 3 días le enseñará los conceptos básicos de la norma y cómo llevar a cabo una auditoría interna; está orientado a principiantes en este tema y a auditores internos.
Ultimas revisiones de la norma ISO 27001 •
La norma se publico por primera vez en el año 2005 y se reviso en el año 2013, la cual seria su versión mas actual.
•
los cambios más importantes de la revisión 2013 están relacionados con la estructura de la parte principal de la norma, las partes interesadas, los objetivos, el monitoreo y la medición; asimismo, el Anexo A ha disminuido la cantidad de controles (de 133 a 114) y ha incrementado la cantidad de secciones (de 11 a 14). En la revisión 2013 se eliminaron algunos requerimientos como las medidas preventivas y la necesidad de documentar determinados procedimientos.
•
El principal objetivo de la norma continua vigente, su filosofía principal sigue centrándose en la evaluación y tratamiento de riesgos y se mantienen las mismas fases del ciclo de Planificación, Implementación, Revisión y Mantenimiento (PDCA, por sus siglas en inglés). Esta nueva revisión de la norma es más fácil de leer y